Next DB Navigator: Datensendeverhalten mit NetGuard einschränken
Unsere Klage gegen die Deutsche Bahn dürfte bekannt sein. Die Klage betrifft die DB-Navigator-App. Im vorliegenden Beitrag möchte ich kurz erläutern, wie man das Datensendeverhalten der Nachfolge-App Next DB Navigator einschränkt – nämlich auf ein Maß, das für die Funktionserbringung der App notwendig ist. Tracking und Co. bleibt außen vor. Ich zeige das beispielhaft an der App-Version 4.5.1, die sich aktuell noch im Beta-Stadium befindet – das entbindet die Deutsche Bahn allerdings (auch weiterhin) nicht davor, sich an Gesetze zu halten.
Android-Apps sind bekannt für die Integration diverser Tracker- und Werbemodule, die die Sicherheit und den Datenschutz unnötig gefährden. Mit speziellen Apps wie NetGuard und AdAway und Co. kann man dem entgegenwirken.
Persönlich verwende ich NetGuard, um den ausgehenden Datenverkehr meiner Android-Apps zu filtern. Bei den Apps aus dem F-Droid Store ist dies im Grunde nicht notwendig, doch ich verwende auch ein paar Apps, die aus dem Play Store (Download via Aurora Store) stammen. Dazu zählt unter anderem die Next-DB-Navigator-App der Deutschen Bahn. Laut Exodus Privacy beinhaltet die App aktuell drei Tracker – ein Unding für eine App, die Eigentum des Bundes ist.
Mit NetGuard lässt sich eine Whitelist erstellen. Diese Whitelist beinhaltet alle Domains bzw. Server, zu denen die Next-DB-Navigator-App eine Verbindung initiieren darf. Alle anderen werden blockiert. Mit NetGuard (Pro-Version erforderlich) lässt sich das wie folgt erreichen:
- Zunächst muss in NetGuard über
Einstellungen -> Erweiterte Optionendie Protokollfunktion (Internetzugriff protokollieren) aktiviert werden - Die App selbst bekommt in NetGuard zunächst keinen Zugriff über das WLAN oder mobile Netz
- Anschließend wird die App gestartet. Diese versucht nun Verbindungen zu initiieren – aufgrund der Filterung durch NetGuard wird nicht dies nicht funktionieren
- Dank der aktivierten Logging-Funktion werden allerdings alle Verbindungen aufgezeichnet, die die App versucht hat, zu initiieren
- Nun muss man entscheiden, welche Domains innerhalb NetGuard erlaubt werden – also wohin die Next-DB-Navigator-App eine Verbindung aufbauen darf. Das erfordert Erfahrung, Ausprobieren, Herantasten und Geduld. Nach meinen bisherigen Erfahrungen benötigt die App genau fünf Verbindungen, um ihre Hauptfunktionen wie Account-Verknüpfung, Verbindungssuche und Ticketkauf zu erfüllen:
- app.vendo.noncd.db.de
- assets.static-bahn.de
- www.bahn.de
- accounts.bahn.de
- cms.services-bahn.de
Sofern ihr eure Tickets per SEPA-Lastschrift oder Kreditkarte bezahlt, sind die restlichen Verbindungen nicht notwendig. Es ist größtenteils Tracking – also nichts, was man wirklich braucht. ;-)
Übrigens: Auch die Deutsche Bahn trackt euch innerhalb der Next-DB-Navigator-App. Beispielhaft eine Datenübermittlung an die Gegenstelle zml-apm-prd.dbv4.noncd.db.de:
POST https://zml-apm-prd.dbv4.noncd.db.de/eum/mobile ccept-Encoding: gzip Content-Type: text/plain; charset=utf-8 Content-Length: 737 Host: zml-apm-prd.dbv4.noncd.db.de Connection: Keep-Alive User-Agent: okhttp/4.10.0 ro?true vw?1080 vh?2400 ti?1674737462552 d?0 ec?0 agv?5.2.3 av?4.5.1 ab?141 bi?com.deutschebahn.app.android p?Android osn?Android osv?13 (33) dma?Google dmo?Pixel 6a dh?bluejay ul?de-DE ct?wifi bid?f7241f39-03f4-432b-af11-79d45b5d00fc k?DIj5O6MMTMi1FAYn7TyWGw sid?9dcda42f-be8a-4e0e-8113-bb973fd384ce t?sessionStart
Neben Gerätemodell, Android-Version, App-Versionsnummer, Verbindungstyp (WiFi) und einigen UUIDs wird ebenfalls ermittelt, ob das Gerät gerootet ist. Für die technische Funktionserbringung bzw. die App-Nutzung ist diese Datenübermittlung (aus Nutzerperspektive) schlichtweg nicht erforderlich. Damit liegt nach meiner Ansicht ein Verstoß gegen § 25 TTDSG vor.
NetGuard: Datenverkehr von Android-Apps filtern – Privatsphäre schützen
NetGuard Firewall – Android unter Kontrolle Teil4
DB Navigator: Datenschutz fällt heute aus – App-Check Teil1
Kuketz-Blog: Jahresrückblick 2022 und Ausblick
